Il nuovo GDPR e il trattamento dei dati personali

Il nuovo GDPR e il trattamento dei dati personali

Il 25 Maggio 2018 entra in vigore il Regolamento generale sulla protezione dei dati (GDPR), un nuovo Regolamento Europeo sulla privacy e sulla protezione dei dati che ha l’obiettivo di uniformare le normative nazionali degli stati membri in materia di trattamento dei dati personali e di garantire pienamente il diritto relativo al controllo dei dati personali degli individui.


In base a quanto previsto dal GDPR, per dati personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), comprese (a) le informazioni di base sull’identità personale, come nome, domicilio, estremi dei documenti di identità; (b) dati informatici, come l’indirizzo IP; i dati di geo-localizzazione, i cookie ed i tag RFID; (c) dati genetici e sullo stato di salute; (d) dati biometrici; (e) dati riguardanti l’origine razziale o etnica; (f) opinioni politiche; (g) orientamento sessuale.


Gli utenti, come previsto dal nuovo Regolamento, sono titolari di numerosi diritti in relazione alla protezione dei propri dati personali, come il diritto di accesso, ossia il diritto di presentare istanza di accesso ai dati personali e di informazione in merito all’utilizzo dei dati dalla società dopo la loro raccolta; il diritto all’oblio, ossia il diritto degli utenti di chiedere la completa rimozione dei rispettivi dati personali; il diritto alla portabilità dei dati, ossia il diritto degli utenti di ottenere il trasferimento dei propri dati ad un diverso fornitore di servizi; il diritto di notifica, ossia il diritto degli utenti di ricevere notifica per iscritto, da parte delle società che effettuano il trattamento dei dati personali, in relazione a casi di violazione dei dati stessi da parte di terzi, entro 72 ore dal verificarsi dell’episodio.


Il GDPR trova applicazione nei confronti di coloro che effettuano la raccolta dei dati (denominati titolari del trattamento, ossia società e/o organizzazioni che raccolgono dati personali di cittadini Europei) e di coloro che processano i dati stessi (denominati responsabili del trattamento, ossia società e/o organizzazioni che effettuano il trattamento per conto di un titolare del trattamento, come nel caso dei fornitori di servizi cloud), che abbiano sede nell’UE o anche al di fuori dell’UE, se i titolari/responsabili raccolgono (o processano) dati personali di cittadini europei.


Il GDPR impone ai titolari ed ai responsabili del trattamento dei dati di designare un Responsabile della protezione dei dati (DPO) per supervisionare l’ottemperanza al GDPR e le strategie di protezione dei dati personali. Le società, eccettuate quelle pubbliche, sono tenute a designare un DPO nel caso in cui processino o detengano un cospicuo numero di dati personali, richiedano il monitoraggio regolare e sistematico degli interessati. Anche le altre pubbliche autorità, come le forze di polizia, possono essere esonerate dalla nomina di un DPO.


Il GDPR, come gli altri Regolamenti Europei, ha portata diretta e sarà direttamente applicabile in tutti gli Stati Membri, a prescindere da qualsiasi disposizione nazionale di attuazione. Ciò vale a dire che le società devono essere preparate per adeguare i propri sistemi e procedimenti entro il 25 Maggio per ottemperare al nuovo Regolamento ed evitare l’applicazione di sanzioni e penalità.


Le autorità garanti (in Italia, il Garante per la protezione dei dati personali) hanno il potere di comminare sanzioni amministrative in caso di violazione del GDPR. Le sanzioni, in base alla specifica disposizione violata, possono arrivare ad un massimo di 20 milioni di euro o, nel caso in cui superino la predetta soglia, il 4% del fatturato annuo globale della società. Queste sanzioni possono essere comminate sia al titolare che al responsabile del trattamento dei dati. Per esempio, la violazione dei requisiti inerenti la cd. “privacy by design” è soggetta ad una sanzione massima di 10 milioni di euro o del 2% del fatturato annuo globale. La violazione dei principi di base in merito al trattamento dei dati, come quelli relativi alla validità del consenso al trattamento e l’inottemperanza alle ordinanze dell’autorità garante sono invece sottoposte alla sanzione massima di 20 milioni di euro / 4% del fatturato globale.


È pertanto importante per le società operanti nell’UE, e anche al di fuori dell’UE (nel caso in cui conservino o effettuino il trattamento dei dati di cittadini europei) ottemperare pienamente al nuovo GDPR. Per qualsiasi informazione o per consulenza sul nuovo Regolamento, non esitate a contattare i nostri esperti all’indirizzo info@dandreapartners.com.